震惊！数百万eBay和亚马逊消费者数据遭泄露

据外媒报道，有研究人员发现了一个大型的数据库，其中包含存储在亚马逊网络(aws)数百万个欧洲客户记录，任何人使用搜索引擎都能查找到这些记录。

泄露的数据库共涉及 800 万条记录，主要是通过亚马逊，eBay，Shopify，PayPal和Stripe在内的公司的市场和支付系统API收集到的。

记录中的数据包括姓名，送货地址，电子邮件地址，电话号码，购买的物品，付款，订单ID，Stripe和Shopify发票的链接以及部分编辑的信用卡。此外，还包括成千上万的Amazon Marketplace Web服务(MWS)查询，MWS身份验证令牌和AWS访问密钥ID。

由于一个客户可能会生成多个记录，所以无法估计有多少客户受到影响。据称大约有一半泄露记录的客户来自英国，其余的大部分都来自欧洲其他地方。

为何会泄露？根据Comparitech的数据，这可能与进行跨境增值税分析的第三方公司有关。亚马逊查询可用于查询MWS API，这可能使攻击者可以从销售数据库中请求记录。因此，它建议所涉及的公司应立即更改其密码和密钥。亚马逊于 2 月 8 日向涉嫌关闭数据库的第三方公司开始调查该违规行为。

尽管目前没有证据表明有人在这些数据不受ekeye保护的情况下访问过该数据。但这个例子足以证明，客户信息被泄露是一件多么简单的事情。

Comparitech和Diachenko之前发现的例子包括:

自2005年以来，总共有2.5亿条客户记录留在Elasticsearch上。

一个数据库，其中包含2.67亿个用户ID，电话号码和姓名，这些信息留在Elasticsearch上。

在Elasticsearch服务器中，有500万Adobe Creative Cloud客户的电子邮件数据库（2019年10月）。

5700万美国人的个人详细信息留在Elasticsearch的营销数据库上。

在过去一年，此类违规事件的数量和范围似乎都在增长。目前针对它们的防御措施很简单，在未造成真正的损害之前，应引起重视并有力解决。

而客户信息遭泄露在亚马逊也已不止发生一次。

今年1月12日，外媒报道， 亚马逊在一周内第二次承认，其员工存在不当获取和分享客户数据的行为。随后， 亚马逊发言人在一份声明中表示：“对这起事件负有责任的个人已经被解雇，我们正在支持执法部门对他们的起诉。”

而在此前的另一起事件中，亚马逊表示，它解雇了四名家庭安全公司Ring员工，原因是他们滥用对客户视频源的访问权限。

互联网的发展，给人们购物带来了极大的便利，同时也带来了一定的隐患。信息安全便是一方面。电商类应用因涉及线上交易等业务且与用户账户资金密切相关，往往易成为黑灰产行业攻击对象，恶意刷券、虚假注册套取平台奖励等事件数见不鲜，一旦应用潜在的漏洞隐患被加以非法利用，造成的损失将难以估量。

对于卖家来讲，网站被攻击、用户数据泄露可能意味着自己的销售业绩、销售人群等核心信息将暴露在竞争对手视线之内；

对于买家来讲，电商平台被攻击，买家的个人信息被曝光，产生的不安全感将会反作用于对购物平台的信任度下降，终止后续购买行动。

因此，客户信息安全值得各个电商平台重视。